WordPress データベースを保護するには?

WordPress データベースを効率的に保護するには、WordPress がデータベースを使用する方法、ハッカーによって頻繁に悪用されるデータベースの脆弱性、およびこれらの脆弱性を回避する方法を知っておく必要があります。

WordPress はデータベースをどのように使用しますか?

WordPress はスクリプト言語として PHP を使用し (データベースからデータを保存および取得するため)、MySQL はデータベース管理に使用され、PHP マークアップ内の SQL クエリを使用します。たとえば、WordPress を利用したビジネス Web サイトにログインした場合、実際にログインし、ユーザー ID を抽出して検証し、正しいプロファイル データがフロントエンドに表示されるようにするのは SQL です。

PHP と SQL は連携して動作します。これは、WordPress が動的なコンテンツベースのエクスペリエンスをユーザーに提供するのに役立ちます。管理者、編集者、購読者など、特定のユーザーに固有のコンテンツをカスタマイズできます。

プラグインとテーマも WordPress データベースを使用してデータを保存します。 PHP マークアップ内で SQL を使用して、データベースにクエリを実行し、コンテンツを動的に出力します。 WP-DB Manager などの他のプラグインを使用して、データベースを簡単に管理できます。

関連記事:時間を節約するための WordPress 設定の 15 のコツ

WordPress データベースを保護する方法

WordPress データベースは、投稿、ページ、コメント、タグ、ユーザー、カテゴリ、カスタム フィールド、その他のサイト オプションなど、Web サイトに関するすべての情報を格納する WordPress Web サイトの頭脳です。これにより、悪意のあるアクターにとって格好の標的となります。スパマーやハッカーは、SQL インジェクションのために自動化されたコードを実行します。 WordPress データベースを保護する方法は次のとおりです。

関連記事:WordPress のセキュリティに関する 25 のベスト プラクティス

1.管理者ユーザー名の変更

他のすべての CMS と同様に、WordPress にもデフォルトの管理者ログインがあります。デフォルトの管理者ログインを変更しないと、悪意のあるアクターが Web サイトやデータベースに不正にアクセスするのが容易になります。

WordPress のデフォルトのユーザー名は admin です .まだ変更していない場合は、今すぐ変更してください。

<オール>

phpMyAdmin に移動します。

次のクエリを実行します。これにより、ユーザー名が admin から変更されます anything.
UPDATE {database_prefix}users SET user_login='anything' WHERE user_login='admin';まで

WordPress マルチサイトの場合、grant_super_admin() を使用できます スーパー管理者アクセスとスーパー管理者権限を付与する機能

2.管理者IDの変更

WordPress では、デフォルトの管理者名は admin です デフォルトの管理者ユーザー ID は 1 です。多くの SQL インジェクション攻撃がこれを悪用しています。そのため、WordPress データベースを保護するために、これをできるだけ早く変更する必要があります。管理ユーザー ID を変更するには、

<オール>

phpMyAdmin に移動します

次のクエリを実行します。

UPDATE wp_users SET ID = 2807 WHERE ID = 1; UPDATE wp_posts SET post_author = 2807 WHERE post_author = 1; UPDATE wp_comments SET user_id = 2807 WHERE user_id = 1; UPDATE wp_usermeta SET user_id = 2807 WHERE user_id = 1; ALTER TABLE wp_users AUTO_INCREMENT = 2808

ヒント: 変更を加える前に、バックアップを作成することを強くお勧めします。また、各変更後に Web サイトの動作を確認して、変更が他のサイト機能を妨げていないことを確認してください。

3. WordPress マルチサイトの場合、ネットワークのサイトごとに数行を複製する必要があります。 このように:

UPDATE wp_2_posts SET post_author = 5487 WHERE post_author = 1; UPDATE wp_2_comments SET user_id = 5487 WHERE user_id = 1;

PHP と $wpdb. を使用して、ループ内でクエリを実行することもできます。

3.データベースの接頭辞を変更

デフォルトの WordPress データベースのプレフィックスは wp_ です .安全な WordPress データベースのために、WordPress のインストール プロセス自体でデフォルトのプレフィックスを変更することを強くお勧めします。

まだ行っていない場合は、今すぐ行ってください。次の手順に従ってください:

<オール>

FTP クライアントからウェブサイトにアクセス

構成ファイル wp_config.php に移動します。 ルート ディレクトリ

wp_ のある行を探します プレフィックスを付けて変更します。
$table_prefix = 'wp_ga2807_';

すべてのデフォルトの WordPress データベース テーブルの名前を変更します。
RENAME TABLE wp_comments TO wp_ga2807_comments;
RENAME TABLE wp_commentmeta TO wp_ga2807_commentmeta;
RENAME TABLE wp_links TO wp_ga2807_links;
RENAME TABLE wp_options TO wp_ga2807_options;
RENAME TABLE wp_postmeta TO wp_ga2807_postmeta;
RENAME TABLE wp_posts TO wp_ga2807_posts;
RENAME TABLE wp_terms TO wp_ga2807_terms;
RENAME TABLE wp_termmeta TO wp_ga2807_termmeta;
RENAME TABLE wp_term_relationships TO wp_ga2807_term_relationships;
RENAME TABLE wp_term_taxonomy TO wp_ga2807_term_taxonomy;
RENAME TABLE wp_usermeta TO wp_ga2807_usermeta;
RENAME TABLE wp_users TO wp_ga2807_users;

wp_ のすべてのインスタンスを置き換えます wp_ga2807_usermeta で と wp_ga2807_options (以前の wp_usermeta と wp_options それぞれのテーブル)。
UPDATE wp_ga2807_options SET option_name = REPLACE(option_name, 'wp_', 'wp_ga2807_') WHERE option_name LIKE 'wp_%';
UPDATE wp_ga2807_usermeta SET meta_key = REPLACE(meta_key, 'wp_', 'wp_ga2807_') WHERE meta_key LIKE 'wp_%';

プラグインは、データベース内に独自のテーブルを作成します。これらのテーブルの名前も変更することが重要です。たとえば、WooCommerce は広く使用されている WordPress プラグインです。 WooCommerce でテーブルの名前を変更するには、次のクエリを実行します。
RENAME TABLE wp_woocommerce_api_keys TO wp_ga2807_woocommerce_api_keys;
RENAME TABLE wp_woocommerce_attribute_taxonomies TO wp_ga2807_woocommerce_attribute_taxonomies;
RENAME TABLE wp_woocommerce_downloadable_product_permissions TO wp_ga2807_woocommerce_downloadable_product_permissions;
RENAME TABLE wp_woocommerce_order_itemmeta TO wp_ga2807_woocommerce_order_itemmeta;
RENAME TABLE wp_woocommerce_order_items TO wp_ga2807_woocommerce_order_items;
RENAME TABLE wp_woocommerce_payment_tokenmeta TO wp_ga2807_woocommerce_payment_tokenmeta;
RENAME TABLE wp_woocommerce_payment_tokens TO wp_ga2807_woocommerce_payment_tokens;
RENAME TABLE wp_woocommerce_sessions TO wp_ga2807_woocommerce_sessions;

注:プラグインを使用してデータベース プレフィックスを変更することもできます。 「Change Table Prefix」は、このための便利なプラグインです。

4.厳格なデータベース ユーザー権限

厳格なユーザー権限により、WordPress データベースの安全性が向上します。 wp-config.php で指定された MySQL ユーザー ファイルには厳密な権限が必要です。インストール中、データベース ユーザーは必要なテーブルとオブジェクトを設定するためのすべての権限を持っていますが、これは一時的な手段である必要があります。インストール後、MySQL ユーザーには DATA READ および DATA WRITE 権限のみが必要です。

5.バックアップを作成

ウェブサイトやデータベースに変更を加える前に、バックアップを作成してください。繰り返します、バックアップを作成してください！定期的なバックアップを作成しておくと、感染した場合に非常に役立ちます。バックアップを復元し、感染したファイルを削除するだけです。

しかし、バックアップが復元されたとしても、攻撃者が悪用した脆弱性は未解決のままです。 Astra の脆弱性評価と侵入テストにサインアップして、Web サイトに隠れているすべてのバックドアとセキュリティの脆弱性を明らかにすることができます。

6.カスタム テーブルの削除

サイトから Web サイトの拡張機能を削除した後、データベースからカスタム テーブルを削除することをお勧めします。そうしないと、生涯にわたってデータベースに未使用のテーブルが大量に蓄積されます。一部のプラグインには、アンインストール時に Web サイトとデータベースからすべてのデータを自動削除するオプションが付属しています。

注:カスタム テーブルを削除すると元に戻せないため、確実に再インストールしないプラグインのテーブルのみを削除してください。

関連記事:誰もが犯しがちな WordPress の 7 つの間違い

結論

すべての正しい対策を講じたとしても、100% のセキュリティを保証することはできません。ハッカーは、Web サイトやデータベースにアクセスする新しい方法を見つけています。何よりもファイアウォールをインストールすることは、今後の脅威の要求から WordPress を守るための最良の方法です。 Astra のファイアウォールが Web サイトのセキュリティを管理することで、ビジネスの成長に集中することができます。

この記事は役に立ちましたか? Facebook、Twitter、LinkedIn で友達と共有してください。